> Retouradres Postbus 20350 2500 EJ Den Haag
De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus 20018 2500 EA DEN HAAG
Bezoekadres: Rijnstraat 50 2551 XP Den Haag T 070 340 79 11 F 070 340 78 34 www.rijksoverheid.nl
Ons kenmerk 151039-110168-MEVA Uw kenmerk 27 529, nr. 125 Bijlagen 1
Datum 13 november 2013 Betreft VSO Naleving Wbp ivm overeenkomst tussen VZVZ en CSC
Correspondentie uitsluitend richten aan het retouradres met vermelding van de datum en het kenmerk van deze brief.
Geachte voorzitter,
Inleiding Met uw Kamer ben ik van mening dat bij elektronische uitwisseling van gegevens de veiligheid van groot belang is. Niet alleen de vertrouwelijkheid van de gegevens maar ook de privacy van de patiënt vragen om een goede bescherming van de elektronische gegevensuitwisseling. In deze brief zal ik ingaan op de vragen van uw Kamer, waarbij ik de vragen per onderwerp zal beantwoorden. Allereerst wil ik opmerken dat de verantwoordelijke (beheerder) ongeacht welk systeem wordt gebruikt, ervoor zorg moet dragen dat de uitwisseling veilig is en voldoet aan de Wet bescherming persoonsgegevens (Wbp). Uw vragen hebben betrekking op één van die systemen: het Landelijk Schakelpunt (het LSP), beheerd door de Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ). Ook het LSP, moet voldoen aan de eisen die de Wbp stelt. Mijn verantwoordelijkheid richt zich op het creëren van randvoorwaarden waaronder veilige elektronische gegevensuitwisseling kan plaatsvinden. Op verzoek van de Eerste Kamer (Motie Y van het lid Tan, kamerstukken I, 2010/2011, 31 466) heb ik geen inhoudelijke of financiële bemoeienis meer met systemen voor elektronische gegevensuitwisseling in de zorg. De verantwoordelijkheid voor het LSP (voorheen het EPD), heb ik in 2012 overgedragen aan de VZVZ. Wel heb ik op verzoek van de Eerste Kamer een wetsvoorstel opgesteld en bij uw Kamer ingediend, waarin eisen worden gesteld aan de elektronische uitwisseling van gegevens in de zorg. In algemene zin zij opgemerkt dat alle elektronische uitwisselingssystemen in de zorg moeten voldoen aan de eisen die daaraan worden gesteld in relevante wetgeving, waaronder de eerdergenoemde Wbp en de Wet op de geneeskundige behandelingsovereenkomst (WGBO). Het College Bescherming Persoonsgegevens (CBP) houdt toezicht op het gebruik van persoonsgegevens en de Inspectie voor de Gezondheidszorg (IGZ) op het leveren van verantwoorde zorg. Mochten de toezichthouders daartoe aanleiding zien dan kunnen zij handhavend optreden.
Pagina 1 van 7
Algemene Verordening gegevensbescherming Zoals u weet betreft het vraagstuk van de Patriot Act alle maatschappelijke sectoren. In Brussel wordt onderhandeld over een Algemene verordening gegevensbescherming. Deze verordening zal een nieuw kader bevatten voor grensoverschrijdende doorgifte van persoonsgegevens. Daarbij wordt ook aandacht geschonken aan doorgifte van gegevens op grond van eenzijdige verplichtingen op basis van buitenlands recht van derde staten. De Europese Commissie gaat ervan uit dat een redelijk evenwicht is te bieden tussen de dilemma’s waarin bedrijven zich soms kunnen bevinden en de bescherming van persoonsgegevens. Namens het kabinet houdt de Staatssecretaris van Veiligheid en Justitie uw Kamer periodiek op de hoogte van de voortgang met betrekking tot de onderhandelingen over de Algemene verordening gegevensbescherming. De Staatssecretaris heeft uw Kamer bij brieven van 26 april en 2 september 2013 (Kamerstuk 32 761, nr. 48 en 51 ) uitgebreid geïnformeerd over de stand van zaken van deze onderhandelingen, met inbegrip van dat deel van de onderhandelingen dat betrekking heeft op de doorgifte van persoonsgegevens aan derde landen.
Ons kenmerk 151039-110168-MEVA
Indien er sprake is van een verzoek om informatie dient ook de VZVZ zich te houden aan de Nederlandse wetgeving en daarmee de Wbp. Zolang de nieuwe Verordening nog niet in werking is getreden moet voldaan worden aan de Wbp en de huidige Privacyrichtlijn. Toezichthouder versus verantwoordelijke Uit uw vragen leid ik af dat er verwarring is ontstaan over rolverdeling tussen het CBP en de VZVZ voor wat betreft het toezicht op de veiligheid van het LSP. Voorop staat dat de beheerder van een elektronisch uitwisselingssysteem zorg moet dragen voor de veiligheid van de uitwisseling en het systeem. Dit geldt voor alle systemen voor elektronische gegevensuitwisseling in de zorg en is niet specifiek voor het LSP. De beheerder is in eerste instantie de verantwoordelijke en moet ervoor zorgen dat zijn systeem en de gegevensuitwisseling in overeenstemming is met de wet. Het CBP houdt toezicht op de naleving van de wet door de beheerder. Er is sprake van een eerste verantwoordelijkheid voor de beheerder en een controlerende en handhavende verantwoordelijkheid voor het CBP. Oftewel de verantwoordelijke moet ervoor zorgen dat het systeem veilig is en het CBP kan dit controleren en handhavend optreden indien dat niet het geval is. Er is dan ook geen sprake van een slager die zijn eigen vlees keurt of van enkel privaat toezicht. In antwoord op de vraag van de leden van de PVV-fractie of ik het ermee eens ben dat de VZVZ een boete zou moeten krijgen wegens incompetentie door het inschakelen van het Amerikaanse CSC wil ik dan ook nogmaals aangeven dat het CBP handhavend kan optreden als zij van mening is dat niet wordt voldaan aan de geldende wet- en regelgeving. Op welke gronden een sanctie kan worden opgelegd door het CBP, is geregeld in hoofdstuk 10 van de Wbp. De leden van de SP-fractie vragen naar het standpunt en de rol van de IGZ. De inspectie houdt toezicht op het leveren van verantwoorde zorg. De IGZ kan handhavend optreden indien zij van mening is dat de geleverde zorg niet verantwoord is. Uw vragen hebben met name betrekking op het gebruik (of misbruik) van persoonsgegevens. Hierop houdt het CBP toezicht. Voor eventuele overlap in de toezichthoudende taken hebben beide partijen een samenwerkingsprotocol afgesloten. Pagina 2 van 7
In de memorie van toelichting van het wetsvoorstel dat ik bij uw Kamer heb ingediend ben ik in paragraaf 1.6 uitgebreid ingegaan op de vraag hoe het toezicht en de handhaving van de bij dit wetsvoorstel gegeven regels vorm zal krijgen. Het onderzoek van het CBP1 naar privacybescherming in de zorg waar meerdere fracties aan refereren is gericht op de toegangsbeveiliging van interne systemen en niet op elektronische uitwisselingssystemen. De onderzochte zorginstellingen hebben afspraken gemaakt met het CBP om de wijze van toegangsverlening voor medewerkers tot patiëntendossiers en de controle op die toegang te verbeteren. Als het CBP constateert dat de instellingen de overtredingen niet beëindigen, zal het CBP handhavend optreden.
Ons kenmerk 151039-110168-MEVA
Of het CBP in een specifieke situatie capaciteit inzet voor het toezicht op het elektronisch uitwisselen van medische gegevens, bepaalt het CBP aan de hand van prioriteringscriteria. De prioriteringscriteria zijn erop gericht om de capaciteit van het CBP zo efficiënt en effectief mogelijk in te zetten. In de Beleidsregels handhaving door het CBP heeft het CBP deze prioriteringscriteria vastgesteld en heeft het keuzes in het toezicht inzichtelijk gemaakt. Toestemming Door uw Kamer zijn vragen gesteld over het geven van toestemming door de patiënt voor inzage in en raadpleging van zijn gegevens via een elektronisch uitwisselingssysteem. Ook wordt gevraagd naar de rechten van de patiënt rond het geven van toestemming. In het eerdergenoemde wetsvoorstel zoals dat bij uw Kamer is ingediend, is vastgelegd dat voorafgaande aan opname van gegevens, expliciete toestemming van de patiënt vereist is. Expliciete toestemming zal dus, op grond van dit wetsvoorstel, ook in de toekomst gelden. Overigens is ook zonder dit wetsvoorstel voor de uitwisseling van medische gegevens toestemming nodig op grond van de WGBO. De rechten die patiënten hebben op basis van de huidige wet- en regelgeving (de Wbp en de WGBO) gelden ook voor elektronische gegevensuitwisseling. Zo heeft de patiënt ook zonder dat er sprake is van elektronische gegevensuitwisseling het recht zijn zorgverlener te vragen bepaalde gegevens te verwijderen of af te schermen voor inzage. Wat betreft het geven van toestemming voor het beschikbaar stellen van gegevens biedt het genoemde wetsvoorstel de cliënt de mogelijkheid generieke, beperkte of geen toestemming te verlenen om zijn gegevens beschikbaar te stellen via een elektronisch uitwisselingssysteem. In geval van generieke toestemming, verleent de cliënt toestemming voor het elektronisch ter beschikking stellen van zijn gegevens aan zijn behandelend zorgaanbieder en alle andere zorgaanbieders die zijn aangesloten op het elektronisch uitwisselingssysteem en waarmee deze cliënt nu of in de toekomst een behandelrelatie heeft. Als de cliënt geen toestemming geeft, is elektronische uitwisseling van zijn gegevens in zijn geheel niet mogelijk. Daar tussenin geeft het wetsvoorstel in artikel 15a, tweede lid Wbsn-z, de mogelijkheid om de toestemming te beperken tot bepaalde (categorieën van) zorgaanbieders. Belangrijk is dat de zorgaanbieder die een cliënt om toestemming vraagt, op grond van het voorgestelde artikel 15c, eerste lid Wbsn-z, de cliënt informatie geeft over zijn rechten bij de elektronische gegevensuitwisseling waarvoor toestemming wordt gevraagd.
1
Pagina 3 van 7
Toegang tot digitale patiëntendossier binnen zorginstellingen, juni 2013.
Dit betekent dat de cliënt moet worden voorgelicht over het feit dat hij zijn toestemming altijd kan intrekken, de reikwijdte van zijn toestemming kan wijzigen (beschikbaar stellen aan meer of minder zorgaanbieders) en ook over het feit dat het geven van generieke toestemming betekent dat bij uitbreiding van het systeem naar meerdere zorgaanbieders, de toestemming automatisch ook geldt voor die nieuwe zorgaanbieders die worden aangesloten. Of en wanneer nieuwe toestemming aan een bepaalde cliënt moet worden gevraagd, zal afhangen van de vraag of een cliënt al dan niet generieke toestemming heeft gegeven. Daarnaast is het zo dat een zorgaanbieder zich in het kader van goede zorg altijd zal moeten afvragen of het nodig is cliënten opnieuw voor te lichten over het geven van toestemming en het eventueel beperken van die toestemming bij belangrijke wijzigingen of uitbreidingen van het elektronisch informatiesysteem. Cliënten kunnen dan opnieuw een bewuste keuze maken en een eerdere generieke toestemming beperken, of juist eerder gemaakte uitsluitingen opheffen.
Ons kenmerk 151039-110168-MEVA
Uw Kamer stelt mij daarnaast een aantal vragen die meer specifiek betrekking hebben op het geven van toestemming in relatie tot het gebruik van het LSP. Zoals aangegeven is het LSP een elektronisch uitwisselingssysteem dat wordt beheerd door een private partij – de VZVZ - en heb ik geen rechtstreekse bemoeienis met dit systeem. Van de VZVZ heb ik begrepen dat de zorgaanbieders een overeenkomst afsluiten met en lid worden van de vereniging VZVZ. In deze overeenkomst is vastgelegd dat zorgaanbieders toestemming moeten vragen aan de patiënt voor het beschikbaar stellen van de gegevens. De patiënt moet dus per zorgaanbieder toestemming geven. Wanneer toestemming is gegeven worden de gegevens beschikbaar gesteld en zijn ze opvraagbaar door geautoriseerde zorgaanbieders. Deze toestemming beperkt zich tot de regio waar de zorgaanbieder onderdeel van uit maakt. Daarnaast wordt binnen de VZVZ aan patiënten de mogelijkheid geboden om via het klantenloket inzage te krijgen in wie heeft gegevens aangemeld en wie heeft gegevens opgevraagd. Het betreft hier dus niet het dossier zelf. Deze mogelijkheid is zowel via een papieren procedure als online (via een beveiligd portaal met DigiD/SMS) beschikbaar. Europese aanbesteding Zoals ik u in mijn brief van 21 juni 2013 heb aangegeven vloeien de huidige contracten met CSC voort uit een openbare Europese aanbesteding. De minister van Binnenlandse Zaken en Koninkrijksrelaties heeft uw Kamer (brief van 16 april 2013, Kamerstuk 26 643, nr 274) een advies van de landsadvocaat gestuurd waarin staat dat bij een aanbesteding Amerikaanse ondernemingen niet kunnen worden uitgesloten. Openbare aanbesteding is een wettelijke verplichting en bij die aanbesteding mag geen onderscheid worden gemaakt naar land van oorsprong of eigendom van een bedrijf. Dit betekent niet dat daarmee de wetgeving op het terrein van aanbesteding boven de Wbp wordt gesteld. Partijen moeten zowel voldoen aan de wetgeving op het terrein van aanbesteding als aan de Wbp. Bij aanbesteding van opdrachten waarbij aan de Wbp dient te worden voldaan, moet dit blijken uit de gunningscriteria: inschrijvers moeten dan aantonen dat zij aan de Wbp kunnen voldoen. Voor wat betreft de vraag of de VZVZ op de hoogte is van de mogelijkheid in de aanbesteding op te nemen dat de opdrachtnemer moet voldoen aan wet- en regelgeving heb ik u in mijn brief van 7 februari 2013 (Kamerstuk 27 529, nr. 123) gemeld van VZVZ het volgende te hebben vernomen. VZVZ en CSC hebben vastgesteld dat in het lopende contract de naleving van de Nederlandse (privacy)
Pagina 4 van 7
wet- en regelgeving voldoende is geborgd, doordat dit als voorwaarde is gesteld. CSC heeft zich hiermee verplicht te voldoen aan onder andere de Wbp bij het beheer van het LSP. Overtreding van de Wbp wordt in het contract aangemerkt als wanprestatie en is reden voor ontbinding van het contract en schadeloosstelling.
Ons kenmerk 151039-110168-MEVA
Zorgpas Het gebruik van een elektronische zorgpas is in 2011 onderzocht, de resultaten zijn in december 2011 naar beide Kamers gestuurd. Zoals ik u bij de aanbieding van het onderzoek meldde, is een belangrijke conclusie van het onderzoek dat opslag van medische gegevens op lokale gegevensdragers als een USB-stick of een zorgpas stand-alone geen afdoende toegang tot het medisch dossier biedt. Gelet op deze conclusie is besloten het gebruik van de zorgpas niet te faciliteren. Wel wordt onder verantwoordelijkheid van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) gewerkt aan de mogelijke invoering van het eID (elektronische identiteit) stelsel, dat veilig en makkelijk online zakendoen met overheid en webwinkels mogelijk maakt. Binnen dit stelsel heeft de overheid het voorstel, een DigiD-kaart aan burgers uit te reiken. Deze kaart heeft een hoog beveiligingsniveau, dat onder andere geschikt is voor het betrouwbaar toegang geven tot privacygevoelige informatie, als de gebruiker dat wilt. Onderzocht wordt ook wat de mogelijkheden hiervoor binnen de zorgsector zijn, alsmede voor de zorgconsument. De minister van BZK is hiervoor primair het aanspreekpunt. De minister van BZK zal de kamer binnenkort uitgebreid informeren over de uitwerking en invoering van het eID Stelsel en de DigiD-kaart. Veiligheid van gegevens Verantwoordelijken voor uitwisselingssystemen dienen maatregelen te nemen om de betrouwbaarheid van het systeem en de vertrouwelijkheid van de gegevens te waarborgen. Dat geldt zowel voor het LSP als voor alle andere mogelijke elektronische uitwisselingssystemen. De wijze waarop dit gebeurt is aan de verantwoordelijke en wordt getoetst door de toezichthouder CBP. De gegevens die via het LSP en zorgaanbieders worden uitgewisseld worden tijdens het transport versleuteld. Daarnaast worden er in het LSP zelf, behalve het BSN van de patiënt, geen dossiers opgeslagen. Er is geen sprake van een databank met medische dossiers, maar enkel een verwijsindex. De aansluiting van andere zorgaanbieders zoals fysiotherapeuten brengt geen verandering in het systeem als zodanig. Ook blijft gelden dat bij uitbreidingen moet worden voldaan aan de Wbp. Ongeautoriseerde toegang door onbevoegden, zoals ook de NSA, dient te worden voorkomen. Hoewel een 100% garantie op een veilige uitwisseling voor geen enkel systeem kan worden gegeven is het wel van belang dat de beveiliging op orde is. Er moet door de verantwoordelijke voor het systeem permanent een afweging gemaakt worden tussen het belang van informatie-uitwisseling en de veiligheid. De beveiliging dient zo goed mogelijk te zijn en moet aansluiten bij de stand der techniek. Het openbaar maken van de informatie over de beveiliging van een systeem is aan de verantwoordelijke. Welke vorm van encryptie de VZVZ gebruikt is mij niet bekend. De VZVZ heeft mij wel laten weten dat het LSP periodiek ge-audit wordt door een onafhankelijke partij.
Pagina 5 van 7
Afspraken VZVZ en CSC Met mijn brief van 7 februari 2013 (Kamerstuk 27 529, nr. 123) heb ik u en het CBP geïnformeerd over de afspraken die de VZVZ als verantwoordelijke voor het LSP heeft gemaakt met CSC. De reactie van het CBP heb ik hierbij bijgevoegd. (zie bijlage)
Ons kenmerk 151039-110168-MEVA
De leden van uw Kamer vragen in hoeverre de veiligheid van patiëntgegevens en de privacy van patiënten gewaarborgd wordt in de privaatrechtelijke overeenkomsten die de VZVZ sluit en welke eisen hieraan worden gesteld en door wie. Uw Kamer vraagt voorts of op basis van de aanvullende afspraken tussen VZVZ en CSC gegarandeerd kan worden dat privacygevoelige gegevens van patiënten niet zonder expliciete toestemming van het CBP ter beschikking kunnen komen van buitenlandse overheden. Net als bij andere private partijen ben ik niet op de hoogte van de inhoud van de afspraken tussen de VZVZ en CSC (of tussen de VZVZ en zorgaanbieders). Het is ook niet aan mij om deze te beoordelen, daarvoor hebben wij toezichthouders. Overigens heeft de VZVZ het doorstartmodel voorgelegd aan het CBP en heeft het CBP daarin geen aanleiding gezien tot het maken van opmerkingen. Van de VZVZ heb ik begrepen dat in het lopende contract de naleving van de Nederlandse (privacy) wet- en regelgeving voldoende is geborgd, doordat dit als voorwaarde is gesteld. CSC heeft zich hiermee verplicht te voldoen aan onder andere de Wbp bij het beheer van het landelijk Schakelpunt (LSP). Overtreding van de Wbp wordt in het contract aangemerkt als wanprestatie en is reden voor ontbinding van het contract en schadeloosstelling. Het feit dat de VZVZ de contractuele afspraken met CSC heeft getoetst op het voldoen aan de verplichtingen van onder andere de Wbp toont mijns inziens aan dat de VZVZ zich bewust is van haar verantwoordelijkheid en hier passend invulling aan geeft. De verantwoordelijken van elektronische uitwisselingssystemen, waar de VZVZ als beheerder van het LSP er één van is, moeten voldoen aan de Wbp waarin is bepaald wanneer gegevens mogen worden verstrekt. Indien de VZVZ een verzoek krijgt om gegevens te verstrekken moet de VZVZ dit verzoek toetsen aan Nederlandse wet- en regelgeving. Er hoeft op grond van de Wbp geen toestemming te worden gevraagd aan het CBP. Overigens heb ik van de VZVZ begrepen dat zij nog nooit een dergelijk verzoek hebben ontvangen. 1.1.1 Het LSP De leden van SP-fractie vragen wat de inschrijvingen voor het LSP nu zijn. Van de VZVZ heb ik begrepen dat het aantal aangesloten zorgverleners per week 41 is: Aangesloten huisartsenpraktijken huisartsenpraktijken) Aangesloten apotheken apotheken) Aangesloten huisartsenposten huisartsenposten) Aangesloten ziekenhuizen ziekenhuizen)
2.749
(67% van het totaal aantal
1.507
(75% van het totaal aantal
103
(80% van het totaal aantal
17
(19% van het totaal aantal
Pagina 6 van 7
Tevens willen deze leden weten wat het totale aantal dossiers is dat nu is opgeslagen in het LSP. Het LSP bevat alleen een BSN van de patiënt en geen dossiers. Op dit moment zijn er ongeveer 856.059 huisartsgegevens raadpleegbaar en 450.590 medicatiegegevens. In totaal hebben 1.156.010 burgers toestemming gegeven aan hun huisarts en/of apotheker om deze gegevens beschikbaar te stellen.
Ons kenmerk 151039-110168-MEVA
Op grond van de huidige wet- en regelgeving kan ik het verzoek van de leden van de PVV-fractie de doorstart van het EPD te beëindigen niet honoreren. Als zou blijken dat het gebruik van het LSP, niet voldoet aan de geldende wet- en regelgeving is het aan de toezichthouder, het CBP, hierop actie te ondernemen. Overigens geldt dit voor alle vormen van elektronische informatie-uitwisseling in de zorg.
Hoogachtend, de Minister van Volksgezondheid, Welzijn en Sport,
mw. drs. E.I. Schippers
Pagina 7 van 7